NATIONAL HARBOR, Maryland — La inteligencia artificial está preparada para transformar el trabajo de los centros de operaciones de seguridad, pero los expertos dicen que los humanos siempre tendrán que estar involucrados en la gestión de las respuestas de las empresas a los incidentes de ciberseguridad, así como en el control de los sistemas autónomos que los ayudan cada vez más.

Los agentes de IA pueden automatizar muchas tareas SOC repetitivas y complejas, pero en el futuro previsible tendrán limitaciones significativas, incluida la incapacidad de replicar el conocimiento humano único o comprender configuraciones de red personalizadas, según los expertos que se presentaron aquí en la Cumbre de Seguridad y Gestión de Riesgos de Gartner.

La promesa de la IA dominó la conferencia de Gartner de este año, donde los expertos compartieron cómo la tecnología podría hacer mucho más fácil el trabajo de los defensores cibernéticos, incluso si tiene un largo camino por recorrer antes de que pueda reemplazar a los humanos experimentados en un SOC.

“A medida que aumentan la velocidad, la sofisticación y la escala de los ataques, podemos usar la IA con agentes para afrontar estos desafíos”, declaró Hammad Rajjoub, director de marketing de productos técnicos de Microsoft, durante su presentación. “¿Qué mejor defensa que la propia IA para la velocidad de una máquina?”

Un socio silencioso

La IA ya puede ayudar al personal del SOC con varias tareas importantes, según expertos en seguridad en sus presentaciones. Pete Shoard, vicepresidente y analista de Gartner, afirmó que la IA puede ayudar a las personas a localizar información mediante la automatización de búsquedas complejas, a escribir código sin necesidad de aprender el lenguaje y a resumir informes de incidentes para ejecutivos sin conocimientos técnicos.

Pero automatizar estas actividades conlleva riesgos si se gestiona incorrectamente, afirmó Shoard. Los SOC deben revisar el código escrito por IA con los mismos “procesos de prueba robustos” que se aplican al código escrito por humanos, añadió, y los empleados deben revisar los resúmenes de IA para no “terminar enviando información sin sentido a la cadena de mando” a “alguien que tomará una decisión” basándose en ella.

En el futuro, la IA podría incluso automatizar la investigación y la remediación de intrusiones.

La mayoría de las startups de SOC de IA se centran actualmente en usar IA para analizar alertas y reducir la carga cognitiva de los humanos, afirmó Anton Chuvakin, consultor sénior de seguridad de la Oficina del CISO de Google Cloud. “Esto es muy útil”, añadió, pero “también es una visión muy limitada del problema”. En el futuro lejano, añadió, “sigo que las máquinas remedian y resuelven ciertos problemas”.

Algunos profesionales de TI podrían “asustarse” ante la perspectiva de dejar que la IA se desate en sus sistemas informáticos cuidadosamente personalizados, dijo Chuvakin, pero deberían prepararse para un futuro que se parezca a eso.

“Imagina un futuro en el que tienes un agente que trabaja en tu nombre y es capaz de protegerte y defenderte incluso antes de que un ataque sea posible en tu entorno”, dijo Rajjoub de Microsoft durante su presentación sobre inteligencia artificial con agentes.

Rajjoub predijo que, dentro de seis meses, los agentes de IA podrán razonar por sí solos e implementar automáticamente diversas herramientas en una red para lograr los objetivos específicos de sus operadores humanos. Dentro de un año y medio, afirmó, estos agentes podrán mejorar y modificarse para alcanzar dichos objetivos. Y, dentro de dos años, predijo, podrán modificar las instrucciones específicas que se les han dado para lograr los objetivos más generales que se les han asignado.

“No son dos, tres, cuatro, cinco o seis años”, dijo. “Estamos hablando literalmente de semanas y meses”.

Limitaciones y riesgos

Pero a medida que los agentes de IA asuman más tareas, monitorearlas se volverá más complicado.

″ ¿De verdad creemos que nuestros empleados pueden seguir el ritmo de desarrollo de los agentes?”, preguntó Dennis Xu, vicepresidente de investigación de Gartner. “Es probable que nunca podamos alcanzarlos”.

Propuso una solución audaz: «Necesitamos usar agentes para monitorear a los agentes. Pero eso está más lejos en el horizonte temporal».

Muchos analistas instaron a la cautela al implementar la IA en el SOC. Chuvakin describió varias categorías de tareas, algunas “plausibles pero arriesgadas” y otras que se negaba rotundamente a creer que la IA pudiera llevar a cabo a corto o mediano plazo.

En la categoría de riesgo, Chuvakin enumeró tareas autónomas como la instalación de parches en sistemas heredados, la respuesta a intrusiones y la certificación del cumplimiento normativo. “He visto gente que usa ChatGPT de consumo para rellenar cuestionarios de cumplimiento”, dijo. “Les deseo toda la suerte del mundo”.

Entre las tareas que Chuvakin afirmó no imaginar que la IA logre a corto plazo se incluyen el análisis estratégico de riesgos, la comunicación en situaciones de crisis y la búsqueda de amenazas contra adversarios de alto nivel de los estados-nación. Combatir grupos de hackers avanzados «es una tarea humana», afirmó, «porque, en última instancia, hoy, los humanos siguen siendo más inteligentes que las máquinas».

Shoard, de Gartner, señaló que usar IA para crear ejercicios prácticos podría hacer que el personal dependa excesivamente de ella para advertirles sobre amenazas en evolución, mientras que usar IA para crear consultas de detección de amenazas podría mermar sus habilidades de investigación. “Terminarás con personal poco capacitado”, afirmó, “personal que depende excesivamente de herramientas como la IA”.

Preservando el ‘conocimiento tribal’

La IA nunca reemplazará a los humanos en un SOC, dijeron varios expertos, porque el juicio humano es una parte esencial del análisis y la respuesta a los incidentes de seguridad.

“Muchas de las cosas que hacemos en un SOC real… implican conocimientos tribales”, dijo Chuvakin, refiriéndose a prácticas que no están documentadas formalmente. La IA tendrá dificultades para realizar estas actividades; Chuvakin comentó que ha visto muchos modelos que recomiendan acciones que no tienen sentido para las redes específicas en las que operan. En particular, señaló que la IA aún no puede crear reglas de detección de amenazas adaptadas a entornos de TI heredados altamente personalizados “debido a todas las peculiaridades” de su configuración.

Chuvakin instó a las empresas receptoras de las presentaciones “AI-SOC-in-a-box” de las startups a “preguntarles cómo esta magia [abordaría] las cosas que están en las cabezas humanas”.

La IA también puede mejorar las habilidades y capacidades de los analistas del SOC. Shoard la calificó como un “enorme multiplicador de fuerza” para la fuerza laboral del SOC, pero advirtió a las empresas que no dependan demasiado de ella.

“Si crees que puedes despedir a tu personal del SOC solo porque de repente has incorporado una función de IA, creo que te llevarás una gran decepción”, dijo Shoard. “La IA no reemplazará a tu personal de seguridad, así que úsala para mejorarlos y que sean mejores en su trabajo”.

En la IA (necesitamos) confiar

En el SOC del futuro, los humanos no solo trabajarán junto a los agentes de IA, según los expertos. También deberán supervisarlos.

“No queremos una autonomía completa”, dijo Upendra Mardikar, CISO de TIAA.

“Necesitamos tener un humano involucrado”.

Estos humanos deberán garantizar que las acciones de los agentes de IA sean auditables y controladas por las políticas de la empresa, según los expertos. José Veitia, director de seguridad de la información de Red Ventures, afirmó que las empresas deben “asegurarse de que todas las acciones estén validadas”.

Diseñar un sistema automatizado requiere suministrarle los datos correctos. «Si permitimos que una máquina simplemente tome las decisiones por nosotros», afirmó Shoard de Gartner, «entonces debemos confiar en que cuenta con toda la información relevante para tomar la decisión eficazmente».

La confianza y la verificación fueron temas comunes en las discusiones sobre IA durante la conferencia de Gartner esta semana.

“La confianza debe ser la base sobre la que se construyen estos agentes”, dijo Rajjoub. “Cuanto más prevalentes y capaces sean los agentes, más crucial será su seguridad para todos nosotros”.

Pero a medida que los agentes de IA se vuelven más capaces, su valor en el SOC podría aumentar significativamente.

“Desafortunadamente, la IA no es mágica. No creo que lo sea nunca”, dijo Shoard. “Pero mejorará las cosas para nosotros en el SOC. Deben considerarla con mucho cuidado, pero considérenla experimentalmente y úsenla”.

En el SOC del futuro, los humanos no solo trabajarán junto a los agentes de IA, según los expertos. También deberán supervisarlos.

“No queremos una autonomía completa”, dijo Upendra Mardikar, CISO de TIAA.

“Necesitamos tener un humano involucrado”.

Estos humanos deberán garantizar que las acciones de los agentes de IA sean auditables y controladas por las políticas de la empresa, según los expertos. José Veitia, director de seguridad de la información de Red Ventures, afirmó que las empresas deben “asegurarse de que todas las acciones estén validadas”.

Diseñar un sistema automatizado requiere suministrarle los datos correctos. «Si permitimos que una máquina simplemente tome las decisiones por nosotros», afirmó Shoard de Gartner, «entonces debemos confiar en que cuenta con toda la información relevante para tomar la decisión eficazmente».

La confianza y la verificación fueron temas comunes en las discusiones sobre IA durante la conferencia de Gartner esta semana.

“La confianza debe ser la base sobre la que se construyen estos agentes”, dijo Rajjoub. “Cuanto más prevalentes y capaces sean los agentes, más crucial será su seguridad para todos nosotros”.

Pero a medida que los agentes de IA se vuelven más capaces, su valor en el SOC podría aumentar significativamente.

“Desafortunadamente, la IA no es mágica. No creo que lo sea nunca”, dijo Shoard. “Pero mejorará las cosas para nosotros en el SOC. Deben considerarla con mucho cuidado, pero considérenla experimentalmente y úsenla”.